Comment implémenter le RGPD en entreprise ?
Sommaire
Dès lors que des données à caractère personnel sont en jeu, il est nécessaire d’assurer le respect du RGPD en entreprise. Pour garantir la conformité à ce règlement européen, la CNIL recommande de suivre plusieurs étapes. Il faudra donc instaurer et tenir un registre de données, faire le tri dans celles enregistrées, les protéger, préserver le droit des personnes et sensibiliser le personnel au sein des compagnies.
RGPD en entreprise : mettre en place un registre de données
Constituer un registre de traitement des données est l’une des premières actions réalisables en entreprise pour assurer sa conformité au RGPD. Cela permet notamment d’obtenir une vision d’ensemble de la façon dont sont utilisées ces informations.
Pour ce faire, la compagnie devra, avant tout, lister toutes ses activités qui requièrent le traitement de données. Par exemple : le recrutement, l’analyse marketing, la gestion des payes, etc.
Le registre doit contenir des documents dédiés à chacune de ces activités et doit notamment préciser :
- La finalité de ces données, c’est-à-dire le but poursuivi à travers la récolte et l’utilisation de ces données.
- La nature des données traitées (nom, prénom, adresse, etc.).
- Les personnes chargées de traiter ces données (service marketing, RH, etc.).
- La durée de conservation.
Ces documents devront être tenus à jour et exhaustifs, impliquant donc la mise en place d’un système permettant à tout le personnel concerné de la compagnie de communiquer les dernières informations en sa possession. Le chef d’entreprise sera considéré comme le responsable dudit registre.
À noter :
Pour faciliter l’accomplissement de cette tâche, la Commission Nationale de l’Informatique et des Libertés (CNIL) a établi un modèle de registre que les sociétés peuvent télécharger directement sur son site internet.
Trier les données pour assurer la conformité au RGPD en entreprise
Une fois le recensement effectué et le registre des activités de traitements créé, l’entreprise qui souhaite rester en conformité avec le RGPD doit mettre en place un système permettant de limiter la récolte des données personnel au strict nécessaire. En effet, un certain nombre d’informations n’auront pas d’utilité dans l’objectif poursuivi par leur récolte. Dès lors, le registre permettra notamment de :
- Faire le tri parmi toutes ces données recueillies en éliminant le superflu et/ou vérifier qu’aucune donnée sensible n’a été enregistrée. En effet, l’article 9 du RGPD stipule que la récolte de certaines informations est prohibée. Il est par exemple interdit de récolter toute information révélant une prétendue origine ethnique ou raciale, les croyances religieuses, l’appartenance syndicale ou encore les opinions politiques.
- Identifier les informations dont la durée de conservation est arrivée à expiration et les supprimer de la base de données.
Plus concrètement, pour chacun des fichiers de registre créé, l’entreprise devra donc s’assurer que :
- Ce ne sont pas des données sensibles. Si c’est le cas, il faudra vérifier, au regard de l’article 9 du RGPD, que la compagnie est bien autorisée à les traiter.
- Les informations traitées sont indispensables à l’activité pour laquelle elles sont enregistrées.
- Seules les personnes accréditées accèdent aux informations recueillies.
- La durée de conservation légale des données n’est pas dépassée.
Si ces précédentes conditions ne sont pas remplies, la société devra se mettre en conformité en implémentant les bonnes pratiques relatives à leur mise en place.
Droit des personnes : assurer son respect au sein de la compagnie
Le respect du droit des personnes est l’un des aspects majeurs du RGPD en entreprise. Il impose notamment le devoir d’information et de transparence à l’égard des individus dont les données sont traitées, que ce soit des clients, des salariés, etc.
À chaque fois que des données à caractère personnel sont recueillies, l’entreprise devra informer les individus concernés. Sur le support de récolte des données (formulaire en ligne par exemple), un ensemble d’éléments devront apparaître. À savoir :
- La raison pour laquelle ces informations sont enregistrées.
- Le fondement juridique autorisant la compagnie à recueillir ces informations.
- Les personnes qui pourront y accéder.
- Le temps de conservation.
- Les modalités d’exercice de leur droit par les personnes concernées.
En outre, les entreprises doivent faciliter l’exercice du droit des personnes dont les données sont traitées. Droit d’accès, d’opposition, de rectification ou d’effacement… Tous les moyens d’y recourir doivent être explicités et effectifs. Par exemple, dans le cas d’un site web, l’entreprise pourra veiller à mettre en place une adresse email dédiée à ces demandes. Autre solution : attribuer une ligne téléphonique à ce type de requêtes.
Attention, le délai légal de traitement des demandes est relativement court. En effet, les entreprises se doivent d’être réactives puisqu’elles disposent d’un mois maximum pour répondre à de telles demandes. Toute absence de réponse peut entraîner des sanctions de la part de la CNIL.
À noter :
Pour limiter de trop longues mentions sur un formulaire en ligne par exemple, il est possible de fournir une première information générale et de renvoyer, pour les détails, aux politiques de confidentialités présentes sur le site internet de la compagnie.
Garantir la sécurité de ses données
Assurer la conformité au RGPD en entreprise implique aussi de prendre les mesures adéquates pour sécuriser les données recueillies. Le but est de réduire les risques de piratages ou de pertes puisque le risque zéro n’existe pas.
Ces mesures doivent être plus ou moins conséquentes selon le niveau de sensibilité des informations traitées. Elles doivent également être considérées en fonction du niveau de danger qui pèse sur les individus en cas de fuites.
Un certain nombre de pratiques sont donc à appliquer. Au niveau digital, il faudra par exemple veiller à :
- Effectuer les mises à jour des antivirus et des logiciels.
- Choisir des mots de passe complexes.
- Faire des sauvegardes régulières et instaurer des procédures de récupération en cas de problèmes.
- Chiffrer les données lorsque nécessaire.
- Sécuriser l’accès au wifi de l’entreprise.
Il faut savoir que la CPME et l’ANSSI ont co-créé un guide des 12 pratiques essentielles pour protéger ses équipements numériques.
Au niveau physique, cette protection peut par exemple consister en la sécurisation de documents de valeurs dans des armoires à serrure ou à code.
Enfin, de façon moins spécifique, il est nécessaire de sensibiliser les collaborateurs de la société ainsi que d’instaurer un processus de gestion des risques.
À noter :
Un DPO, ou Délégué à la Protection des Données, peut être nommé pour accompagner l’entreprise dans la procédure de mise en conformité. Attention, selon l’article 37 du RGPD, l’engagement d’une telle personne est obligatoire pour un certain nombre de structures.
Former ses collaborateurs au RGPD en entreprise
Enfin, dans le processus de mise en conformité au RGPD, il est indispensable de former le personnel, sans distinction de services ni de poste. Ainsi, il faudra s’assurer que l’équipe de direction, elle aussi, connaisse les enjeux du règlement et qu’elle adhère aux changements à implanter.
La formation à l’utilisation et à la protection des données numériques est rendue obligatoire par l’article 39 du RGPD. Il stipule en ce sens la nécessité de sensibiliser et de former le « personnel participant aux opérations de traitement ». Toutefois, l’article ne prévoit pas les modalités de cette formation. Les compagnies sont donc libres quant à sa forme (en ligne, présentiel, etc.).
Concernant le contenu, la formation doit notamment assurer l’atteinte des objectifs suivants :
- Compréhension des enjeux et des conséquences du RGPD sur le fonctionnement de la compagnie.
- Maîtrise des règles RGPD.
- Connaissance des sanctions relatives aux infractions au RGPD.
À noter :
Au-delà de son aspect légal, la formation des collaborateurs au RGPD a une véritable utilité pour la sécurité d’une entreprise. En effet, cela diminue les risques que les données sensibles et, par extension, la compagnie elle-même, soit ciblée par des cyberattaques. De plus, une fois formé, le personnel aura les connaissances requises pour affronter les situations à risque.
La synthèse de Julien Dupé
(CEO et Fondateur de Infonet.fr)Pour garantir la conformité au RGPD en entreprise, plusieurs actions, recommandées par la CNIL, peuvent être mises en place en interne. À savoir : tenir un registre des données, faire un tri de ces données et assurer leur protection, préserver le droit des personnes et former les collaborateurs au RGPD.
Guides par thématiques
Choisissez la catégorie de la définition à consulter.
- Assemblée générale (7)
- Auto-entrepreneur (16)
- Brevet (18)
- Business plan (6)
- Création d'entreprise (36)
- Cycle de vie de l'entreprise (6)
- Financement (7)
- Fiscalité (15)
- Formalités et démarches d'entreprise (11)
- Franchise (8)
- Gestion comptable et financière (16)
- Marque (8)
- Obligations légales des entreprises (6)
- Obligations sociales du dirigeant (12)
- Publication des comptes annuels (8)
- RGPD (7)